Den 29 januari 2026 satte det danska Datatilsynet en preliminär punkt i ett ärende som började 2022. 51 kommuner använde Google Workspace och Chromebooks i skolan. Datatilsynet fann att kommunerna inte kunde redogöra för vem som faktiskt behandlade barnens personuppgifter. Anledningen — Google använder underleverantörer (sub-processors) som vidarebehandlar data, delvis utanför EU.
Och detta var kommunens ansvar. Som personuppgiftsansvarig är du skyldig att veta vem din personuppgiftsbiträde använder vidare – och att kontrollera att dessa följer GDPR. Det räcker inte att underteckna en personuppgiftsbiträdesavtal med Google eller Microsoft. Dina avtal ska täcka hela kedjan.
Detta gäller inte bara skolor. Det gäller alla som använder molnbaserade tjänster — och det är nästan alla.
Praktisk poäng: Be din viktigaste molnleverantör om en lista över underbiträden. Kontrollera om några finns utanför EU/EES. Ta reda på om ditt dataöverföringsavtal täcker den vidare överföringen. Det tar 15 minuter att skicka mejlet.
Inspirerad av: Datainspektionen (DK)